Home » Archive

Artikel mit Tag: Schwachstelle

[18 Dec 2021 | Comments Off on GIMP ist nicht von der log4j-Schwachstelle betroffen | Autor: Jürgen (jdo) ]
GIMP ist nicht von der log4j-Schwachstelle betroffen

Beim GIMP-Team sind anscheinend genug Anfragen bezüglich der log4j-Schwachstellen eingegangen, dass es für eine explizite Entwarnung gereicht hat. Auf jeden Fall hat das Team eine Stellungnahme veröffentlicht, dass GIMP nicht von der 0-Day-Lücke in log4j (log4shell / CVE-2021-44228) betroffen ist. In der Stellungnahme wird klargestellt, dass GIMP log4j gar nicht benutzt und es sowieso keinen Java-Code in der Software gibt. Es ist also sicher, die Software sorgenfrei zu benutzen und tolle Kreationen damit zu erstellen.

[17 Jan 2013 | Comments Off on Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft | Autor: Jürgen (jdo) ]
Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft

Brian Krebs berichtet von einer weitere 0-Day-Sicherheitslücke in Oracles Java, die nur 24 Stunden nach Java 7 Update 11 aufgetaucht ist. Darin wurde eine Sicherheitslücke geschlossen, mit dem man einen Windows-Rechner unter seine Kontrolle bringen konnte. Allerdings fehlt derzeit noch jede Bestätigung, ob die Lücke auch echt ist und was sie tut. In einem exklusiven Cybercrime-Forum soll der Finder den Exploit an 2 Personen für je 5000 US-Dollar verkauft haben (mehr Leute bekommen die Code nicht und es ist wohl […]

[30 Nov 2012 | Ein Kommentar | Autor: Jürgen (jdo) ]
Chrome-Bug: Google zahlt LEET-Geld :)

Es gabe erst vor wenigen Tagen eine neue Chrome-Version. Nun hat Google wegen zwei als hoch eingestuften Sicherheitslücken gleich noch einmal nachgelegt – für Linux, Mac OS X, Windows und die Chrome-Plattform. Ein Fehler (161564 CVE-2012-5138) hängt mit der flaschen Behandlung von Pfaden zusammen. Die zweite Sicherheitslücke (162835 CVE-2012-5137) ist ein Use-after-free bei Medien-Quellen. Für das melden dieses Sichereheitsproblems hat Google 7331 US-Dollar (LEET) springen lassen. Der Finder, Pinkie Pie, hat nach eigenen Angaben auch die Aufgabe 64-Bit-Exploit erfüllt. Bei mir hat […]

[27 Nov 2012 | Comments Off on Google Chrome 23.0.1271.91 bessert Sicherheitslücken aus | Autor: Jürgen (jdo) ]
Google Chrome 23.0.1271.91 bessert Sicherheitslücken aus

Das Chrome-Team hat eine neue stabile Version für Linux, Mac OS X und Windows zur Verfügung gestellt. Darin sind einige Fehler und Sicherheitslücken ausgebessert. Insgesamt hat Google 2500 US-Dollar Kopfgeld für gemeldete Schwachstellen spendiert. Wenn die Lautsprecher-Konfiguration auf Quadraphonic gestellt war, funktioniert in Flash kein Ton. Die Entwickler haben sieben Sicherheitslücken ausgemerzt. Drei davon sind als hoch, drei als mittel und eine als niedrig eingestuft. Ein mit 1000 US-Dollar dotierter und als hoch eingestellter Fehler betrifft lediglich Mac OS X in […]

[9 Nov 2012 | Comments Off on Mögliche Sicherheitslücke in TOR gefunden | Autor: Jürgen (jdo) ]
Mögliche Sicherheitslücke in TOR gefunden

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, […]

[23 Sep 2012 | Comments Off on Kernel-Update für Ubuntu 12.04 bessert Sicherheitslücken aus | Autor: Jürgen (jdo) ]
Kernel-Update für Ubuntu 12.04 bessert Sicherheitslücken aus

Canonical hat eine Sicherheits-Anweisung ausgegeben, die Sicherheitslücken im Kernel von Ubuntu 12.04 LTS “Precise Pangolin” behandelt. Die Probleme betreffen auch alle Derivate der Distribution. Als Desktop-Anwender wird einen das weniger stören, denn man bekommt in der Regel automatische Updates. Wer einen Server betreibt und manuell aktualisiert, sollte sich die Anweisung mal zu Gemüte führen oder eben aktualisieren. Im Prinzip geht es um CVE-2012-3412 und CVE-2012-3430. Ersteres ist eine Schwachstelle im Zusammenhang mit TSO (TCP Segment Offload). Die Sicherheitslücke lässt sich von einem lokalen […]

[13 Sep 2012 | Comments Off on 3500 US-Dollar Kopfgeld: Sieben Schwachstellen in Chrome für Android bereinigt | Autor: Jürgen (jdo) ]
3500 US-Dollar Kopfgeld: Sieben Schwachstellen in Chrome für Android bereinigt

Google Chrome für Android wurde ein Update spendiert und der Browser ist nun als Version 18.0.1025308 zu haben (Google Play). Die Software ist kompatibel mit Android 4.0 (Ice Cream Sandwich) oder später. Die neueste Version besser insgesamt 7 Sicherheitslücken aus, die alle mit einem Kopfgeld von 500 US-Dollar dotiert wurden. Alle Lücken sind als Medium eingestuft. [$500] [138210] Medium Information and credential disclosure by file:// URLs. Credit to Artem Chaykin. [$500] [138035] Medium Current-tab cross-application scripting (UXSS). Credit to Artem Chaykin. [$500] [144813] Medium UXSS via Intent extra data. Credit […]

[1 Sep 2012 | Ein Kommentar | Autor: Jürgen (jdo) ]
Nach Java-7-Patch gleich neue Sicherheitslücke gefunden

Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7). Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden […]

[22 Aug 2012 | Comments Off on Google Chrome 21 mit drei unterschiedlichen Versionen für Linux, Mac OS X und Windows | Update für Chrome OS | Autor: Jürgen (jdo) ]
Google Chrome 21 mit drei unterschiedlichen Versionen für Linux, Mac OS X und Windows | Update für Chrome OS

Die Entwickler des Browsers Chrome haben den stabilen Kanal aktualisiert. Interessant dabei ist, dass es für Linux, Mac OS X und Windows drei verschiedene Builds gibt: 21.0.1180.81 für Linux und 21.0.1180.83 für Windows. Für Mac OS X wurden Chrome Frame und die Kanäle Stable und Beta laut eigener Aussage auf Version 21.0.1180.82 aktualisiert. Sicherheits-Updates sind diesmal keine vorhanden, allerdinge löst die neueste Ausgabe diverse Fehler. Ddas doppelseitige Drucken steht nun nicht mehr auf “Ja”. Chrome hatte selbst für eine Seite eine […]

[27 Jun 2012 | Comments Off on 20 Lücken ausgebessert: Chrome 20 für Linux, Mac OS X und Windows | Autor: Jürgen (jdo) ]
20 Lücken ausgebessert: Chrome 20 für Linux, Mac OS X und Windows

Nomen ist Omen? 20 Lücken in Chrome 20 (20.0.1132.43) ausgebessert, passt irgendwie zusammen. Google hat sich den Spaß im Rahmen des Kopfgeldprogramms insgesamt 8000 US-Dollar kosten lassen. 5000 davon gehen an den mittlerweilen bekannten Chrome-Hacker miaubiz. 13 der Sicherheitslücken sind als hoch eingestuft, 4 als medium und 3 als niedrig. Ansonsten tut sich nicht viel. Es gibt lediglich Updates zur JavaScript Engine V8 (3.10.8.18) So weit zum Browser. Google hat aber weitere 3500 US-Dollar für Bereiche ausgeschüttet, die über Chrome […]